요약 - Fortinet은 최근 자사 FortiGate VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고
- Fortinet은 FortiOS 최신 버전을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치
내용 - Fortinet
> 해커가 FortiGate VPN 구버전 취약점을 악용한 공격 이후에도 여전히 '읽기 전용' 접근 권한을 유지하고 있음을 경고
> SSL-VPN 기능을 악용해 기기 내부에 심볼릭 링크를 생성해 패치가 완료된 이후에도 시스템에 접근하는 새로운 지속 기법을 사용

- FortiOS 내 알려진 취약점(CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등)을 통해 포티게이트 장비에 침투
> 이후 SSL-VPN 기능의 언어 파일 디렉터리 내에 심볼릭 링크를 생성사용자 파일 시스템과 루트 파일 시스템을 연결
> SSL-VPN 웹 인터페이스를 통해 공격자가 민감한 설정 파일에 접근할 수 있도록 함

※ CVE-2022-42475 (CVSS: 9.8)
FortiOS SSL-VPN, FortiProxy SSL-VPN에서 발견된 힙 기반 버퍼 오버플로우 취약점으로, 인증되지 않은 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음

CVE-2023-27997 (CVSS: 9.8)
FortiOS, FortiProxy에서 발견된 힙 기반 버퍼 오버플로우 취약점으로 SSL-VPN 인터페이스에서 발생하며, 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음

※ CVE-2024-21762 (CVSS: 9.8)
Fortinet FortiOS, FortiProxy에서 발견된 범위를 벗어난 쓰기 취약점으로, 공격자가 시스템에서 임의의 명령을 실행할 수 있음

- 심볼릭 링크로 지속적 접근 유지
> 공격자가 생성한 심볼릭 링크는 펌웨어 업그레이드나 시스템 재부팅 이후에도 삭제되지 않음
> 해커는 장비의 파일 시스템에 대한 읽기 전용 접근 권한을 지속적으로 유지할 수 있었음

- 포티넷의 대응 및 권고 사항
> FortiOS 최신 버전(7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16)을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치
> 또한 SSL-VPN 인터페이스가 더 이상 심볼릭 링크를 서비스하지 않도록 변경
> 고객에게 즉시 장비를 최신 버전으로 업그레이드하고, 설정 파일의 무단 변경 여부를 검토하며 노출 가능성이 있는 자격 증명을 재설정할 것을 권고

- 보안전문가들은 단순히 FortiOS를 최신 버전으로 업데이트하는 것만으로는 충분하지 않다고 경고
> 장비 설정을 철저히 검토해 의심스러운 변경 사항이 있는지 확인
> 관리자 계정과 VPN 사용자 계정을 포함한 모든 자격 증명을 반드시 재설정
> 긴급한 상황에서는 SSL-VPN 기능을 일시적으로 비활성화
> 포렌식 분석을 통해 침해 여부를 면밀히 확인
기타 - 침해 시 공격자가 심볼릭 링크를 만들어 접근 권한이 없는 디렉터리나 파일에 간접 접근할 수 있는 수단으로 악용 가능
> 해커가 장비 내에 심볼릭 링크를 남기면 패치 이후에도 내부 시스템을 간접적으로 들여다볼 수 있는 창구로 악용될 수 있음

- 해당 취약점 악용 기법은 2023년 초부터 전 세계적으로 광범위하게 사용된 것으로 확인
> 프랑스 국가정보시스템보안청(ANSSI) 산하 CERT-FR은 프랑스 내 수많은 Fortinet 장비 침해 사실 공개
> 미 사이버안보 및 기반시설 보안국(CISA)은 유사한 피해 사례를 확인하고 관리자들에게 주의 당부

 

보안뉴스

 

해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의 - 데

포티넷(Fortinet)은 최근 자사 포티게이트(FortiGate) VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고했다. 공격자는 SSL-

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서  (0) 2025.04.04
브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가  (0) 2025.04.04
팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주의  (0) 2025.04.04
요약 - 포티넷 VPN, 설계 결함으로 브루트포스 공격 중 성공적인 로그인 시도가 로그에 기록되지 않음
- 포티넷은 이를 취약점으로 간주하지 않으며, 패치 제공 계획 없음
내용 - 포티넷 VPN은 인증(Authentication) 단계와 권한 부여(Authorization) 단계로 로그인 과정을 나눔
> 일반적으로 로그인 시도가 실패하면 인증 단계에서 로그가 기록
> 성공적인 로그인은 권한 부여 단계까지 완료된 경우에만 로그가 기록
> 인증 단계 이후 프로세스를 중단하여 성공적인 로그인이 로그에 남지 않도록 할 수 있음을 확인

- Burp Suite 등의 테스트 도구를 사용해 VPN 클라이언트-서버 간 통신 분석
> 유효한 자격 증명을 확인했을 때 서버에서 반환하는 특정 값(ret)을 이용해 성공 여부 판별 가능
> ret=1 : 성공적인 로그인 / ret=0 : 실패한 로그인
> 인증 단계에서 프로세스 중단 시 성공적인 로그인 시도가 기록되지 않고 실패한 시도만 남아 관리자에 혼란 유발 가능

- 해당 결함은 브루트포스 공격이 탐지되어도 자격 증명을 성공적으로 확보했는지 확인할 수 없게 만듬

- 포티넷은 취약점으로 간주하지 않음
> 문제 해결 계획 역시 확인되지 않음
> 연구진은 결함 악용 방법을 공개하며 모니터링 강화 권고
기타 - 비정상적인 인증 시도를 탐지할 수 있도록 해야 함
> 추가 모니터링 도구 도입
> 보안 정책과 로그 기록 체계 재검토
> 모든 인증 시도 기록 및 실시간 분석 등

- 로그 기록의 완전성이 얼마나 중요한지 보여주는 사례

 

보안뉴스

 

[주의] 포티넷 VPN 심각한 결함 발견돼…공격자, 브루트포스 공격 성공해도 들키지 않아 - 데일리

포티넷(Fortinet) VPN 서버에서 브루트포스 공격 중 성공적인 로그인 시도가 로그에 기록되지 않는 설계 결함이 발견됐다. 이 결함은 공격자가 유효한 자격 증명을 확인하면서도 이를 보안 관리자

www.dailysecu.com

 

FortiClient VPN Logging Blind Spot Revealed

Security research that presents a method to automatically validate credentials against Fortinet VPN servers by uncovering an exploit that attackers can use to compromise countless organizations.

pentera.io

 

'보안뉴스' 카테고리의 다른 글

가장 위험한 소프트웨어 보안 문제는 무엇일까? 25개를 꼽았더니  (2) 2024.11.26
방화벽 취약점 악용 공격 비상! 해킹포럼에 100여개 기업의 방화벽 호스팅 서버 접근권한 판매 글 올라와  (0) 2024.11.26
[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중  (3) 2024.11.11
친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고 외 2건  (0) 2024.11.02
“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02

+ Recent posts

티스토리툴바